Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/05/2011
Vulnerabilitat en WhatsApp pot deixar part de les teues conversacions al descobert
És fàcil espiar la gent que usa el popular missatger mòbil WhatsApp.
WhatsApp envia els noms d'usuari, números de telèfon i missatges instantanis sense xifrar a través d'Internet. Els delinqüents poden interceptar aquesta informació utilitzant un simple sniffer de xarxa, com el popular Wireshark.
Un lector de la publicació holandesa IDG Webwereld, va descobrir aquesta vulnerabilitat. Ell va ser capaç d'interceptar tot el tràfic sense xifrar en una xarxa i Webwereld va ser capaç de reproduir les seues conclusions. A primera vista, sembla que WhatsApp està utilitzant una connexió SSL segura, HTTPS, per als seus servidors. Però açò pot ser enganyós, com es veu en fer una inspecció més pròxima. Encara que tots els noms d'usuari, números de telèfon i els missatges instantanis són transferits a través del port 443, que es reserven per al tràfic xifrat, s'envien als servidors de WhatsApp en text normal, sense xifrat.
A causa d'açò, és fàcil obtindre la informació privada utilitzant un atac del tipus "man-in-the-middle”. L'atac només pot dur-se a terme quan un telèfon intel·ligent amb WhatsApp està connectat a una xarxa sense fil no segura, com per exemple punts d'accés Wi-Fi que s'ofereixen en les estacions de tren o aeroports.
Els delinqüents també poden configurar un punt d'accés wifi amb un SSID comú, d'una xarxa sense fil sense xifrar. Açò es coneix com a xarxa bessona malvada. Les persones que usen només xarxes de confiança o assegurades són probablement menys vulnerables a aquest atac.
En un comunicat, WhatsApp diu que «creu fermament en la llibertat de la xarxa i la privacitat» dels seus usuaris. La companyia està estudiant de prop aquest assumpte, però no desitja fer cap comentari per ara.
Per al descobridor de la vulnerabilitat, això conta una història diferent. En aquest comentari, WhatsApp confia en les xarxes 3G i Wi-Fi per a protegir el tràfic. «No guardem o emmagatzemem les dades de la llibreta d’adreces o de les seues conversacions, per la qual cosa no hi ha res que xifrar», va dir un portaveu.